ハッカーに狙われたサイバー武器商人「Hacking Team」(前編)侵入犯が手口公開?

江添 佳代子

April 27, 2016 11:00
by 江添 佳代子

世界中の政府機関や法執行機関にスパイウェアを販売しているイタリアの企業「Hacking Team」社が2015年7月にサイバー攻撃を受け、100万点を超える機密メールが漏洩する事件が発生した。漏洩したメールには、同社の看板商品のスパイウェア「ガリレオ」を購入した世界中の顧客情報が含まれていた。この漏洩事件により、独裁政権が反社会的な市民を監視する目的でガリレオを利用していたこと、また米国やイスラエルが代理店となって、独裁政権に対してガリレオを販売していた事実が暴かれ、それは国際的な問題へと発展した。

Hacking Teamが標的のデバイスをスパイするために利用していた数々の脆弱性が一挙に知られたことも、セキュリティ業界に多くの混乱を巻き起こした。デベロッパーが認識していなかったAdobe Flash PlayerやMicrosoft Font Driverの脆弱性は、瞬く間にゼロデイとして犯罪者たちの間で広まり、またデベロッパーは大慌てで修復に追われる事態となった。そして「このような未知の脆弱性を利用してハッキングを行うためのツールを開発してきたHacking Teamですら、外部からのサイバー攻撃には耐えきれずに自社の情報を漏洩させた」という事実も、業界に衝撃を与えた。

THE ZERO/ONEでもHackingTeamの情報漏洩事件について取り上げている。
暴かれた「Hacking Team」の実像 政府御用達『スパイウェア』製造企業はなぜ狙われたか(前編)
暴かれた「Hacking Team」の実像 政府御用達『スパイウェア』製造企業はなぜ狙われたか(中編)
暴かれた「Hacking Team」の実像 政府御用達『スパイウェア』製造企業はなぜ狙われたか(後編)

そして、この大騒動から約8ヵ月が過ぎた今年4月、突然「当事件の犯人」を名乗るハッカーが、Hacking Teamを侵害した手口をウェブに公開した。今回は、公開された文書と発表を行った人物について説明したい。

「要望に応じて」英訳バージョンも掲載

そのハッカーは4月15日、自身のツイッターアカウント「Hack Back!(@GammaGroupPR)」で、Hacking Teamを攻撃した際の手口を明かしたガイドを紹介した。このときはツイートも、リンク先のPastebinページもスペイン語だった。

そして翌16日には、先のガイドの英語バージョンにあたるページへのリンクが同じアカウントに掲載された。そのツイートは次のように記している。「ご要望が多かったので英訳しました:Hack Back! A DIY Guide」

この2つのリンク先ページは同じデザインだ。冒頭のアスキーアートを見るだけでもお分かりになるとおり、そのページには人を食った態度が存分に示されている。用心深い方であれば、「この人物が本当に、Hacking Teamの攻撃に成功したハッカーなのか? 有名な事件に便乗して、もっともらしいデタラメを書き、騒ぎを起こしたいという悪戯ではないのか?」と疑問に思うかもしれない。しかし結論から言えば、このアカウントの持ち主が当事件の犯人である可能性は非常に高い。以下にその理由を述べよう。

HackingTeamに侵入した人物が、その手順をpastebinに投稿した

2つのスパイウェア企業を襲ったPhineas Fisher

話は昨年の事件にさかのぼる。2015年7月、サイバー攻撃を受けたHacking Teamが徹底的に打ちのめされた際には、同社の公式ツイッターアカウント(@hackingteam)までもが犯人の制御下に置かれ、そこから発せられるツイートによって同社のハッキングが公開されるという状況になった。このとき、すかさず同社のアカウントにDMを送ったWebメディア『Mother Board』誌のライターLORENZO FRANCESCHI-BICCHIERAIは、犯人とコンタクトを取ることに成功していた。犯人は、自分がこのツイートを行ったアカウント(@GammaGroupPR)の所有者であることを明かした。つまり、このときLORENZO FRANCESCHI-BICCHIERAIが連絡を取り合った相手と、今回のガイドを発表した人物は同じアカウントを利用している。

そして、このアカウントは『Phineas Fisher』が所有するアカウントとしても知られている。この部分については少し詳しく説明する必要があるだろう。Phineas Fisherは、2014年に英国とドイツを拠点とする企業Gamma Internationalをハッキングしたことで有名になった謎のハッカーだ。Gamma Internationalは世界中の政府機関向けにスパイウェアを販売する企業で、同社の看板商品「FinFisher」の販売先や利用方法については、何年も前から様々な疑惑や告発の声が上がっていた。

つまりHacking TeamとGamma Internationalは競合の関係にあるスパイウェア販売企業で、また両社の商品(ガリレオとFinFisher)はいずれも「テロリストや犯罪者を追跡するという本来の目的を越えて、市民の監視を望む政府機関に販売されているのではないか?」と何度も疑われてきた。そして2014年9月に大規模なハッキングを受けたGamma Internationalは、同社のシステムからFinFisherの顧客を示すメールを奪われた。その翌年の2015年7月にはHacking Teamでも同様の事件が起き、ガリレオの顧客や販売ルートなどの機密情報が流出した。

Phineas Fisherは、この2つの事件の両方に関与していたということになる。つまり世界の政府機関や警察機関を相手に「ハッキング用のツール」を売りさばいてきた2つの先鋭的なスパイウェア企業は、Phineas Fisherのハッキングによって立て続けにビジネスの内情を暴かれていた。これらの2つの事件が単独犯によるハッキング活動だったのか、あるいはグループによる活動だったのかまでは断言できない。しかし「Phineas Fisher」と呼ばれる存在が、両社のハッキングに成功していたという点は間違いなさそうだ。

後編では、いよいよPhineas Fisherが公開したページ「Hack Back! A DIY Guide」を解説しよう。
 
(敬称略/後編に続く

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…